§ 8 Verarbeitung besonderer Kategorien personenbezogener Daten¶
Werden auf der Grundlage dieses Teils besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 verarbeitet, sind vom Verantwortlichen angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorzusehen. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen können dazu insbesondere gehören:
- technische und organisatorische Maßnahmen, um sicherzustellen, dass dieVerarbeitung gemäß derVerordnung (EU) 2016/679 erfolgt,
- Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten verarbeitet worden sind,
- die Sensibilisierung der an der Verarbeitung Beteiligten,
- die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der Stelle des Verantwortlichen sowie möglicher Auftragsverarbeiter,
- die Pseudonymisierung oder Verschlüsselung personenbezogener Daten,
- die Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten sowie der Belastbarkeit der Systeme und Dienste, die mit der Verarbeitung personenbezogener Daten in Zusammenhang stehen, einschließlich der Fähigkeit, die Verfügbarkeit und den Zugang zu diesen Daten, Systemen und Diensten bei einem Zwischenfall wiederherzustellen,
- zur Gewährleistung der Sicherheit der Verarbeitung die Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen oder
- spezifische Verfahrensregelungen, die im Falle einer Übermittlung oder Verarbeitung für andere Zwecke die Einhaltung der Vorgaben dieses Gesetzessowie derVerordnung (EU) 2016/679 sicherstellen.